IT Security nach innen
Dem Mitarbeiterbetrug das Handwerk legen und Milliarden sparen
IT nach innen unsicher
IT Security nach innen
Trotz einer Reihe von Berichten und Warnungen, die im Laufe der letzten Jahre das Ausmaß des Problems des Betrugs durch Mitarbeiter beleuchtet haben, tun die IT-Manager noch immer nicht genug, um Betrügereien durch Firmenangestellte zu verhindern. Jedenfalls ist dies ist die Meinung von Sicherheits-Experten. Sie sind der Ansicht, dass viele Unternehmen keinerlei Systeme und Prozesse implementiert haben, um der Gefahr des Daten- und Informationsdiebstahls durch ihre Mitarbeiter vorzubeugen.
Manchmal bedroht schon die Unwissenheit der Mitarbeiter in der Firma die hauseigenen Netzwerke – die Zeitschrift Computer im Mittelstand berichtet in ihrer aktuellen Februarausgabe (also kostenloses Abo per PDF hier verfügbar) ausführlich über dieses “kleine Übel”. Größere Gefahren drohen aber auch durch kriminelle Energien der Mitarbeiter.
Ein gemeinsamer Untersuchungsbericht der Association of Certified Fraud Examiners (ein globaler Berufsverband, der sich der Bekämpfung von Betrug und Wirtschaftskriminalität verschrieben hat) und der Anwaltskanzlei Mishcon de Reya schätzt, dass sich die Kosten für Wirtschaftskriminalität alleine in Großbritannien auf rund 105 Milliarden Euro jährlich belaufen – das sind mehr als fünfmal so viel wie die Regierung mit ihren 20 Milliarden Euro veranschlagt. Noch höher dürften die Zahlen für Deutschland sein, wurden aber bislang nicht veröffentlicht. Gary Miller von Mishcon & Reya meint, dass Insider einen beträchtlichen Anteil an diesem Betrug haben und Manager in mittleren und oberen Positionen fügen den Unternehmen häufig den größten finanziellen Schaden zu.
In Deutschland geht es so weit, dass das Handelsblatt im Februar eine Konferenz zum Thema veranstaltet: “Unternehmensrisiko Korruption” findet am 7. und 8. Februar in Frankfurt statt. Dort werden auch Zahlen genannt werden: Kriminalhauptkommissar Klaus Jansen, Bundesvorsitzender des Bundes Deutscher Kriminalbeamter, wird ein Lagebild der Korruption in Deutschland geben. Wieviel der Betrugsfälle mit Hilfe der Informationstechnik passiert, liegt noch im Dunkeln, doch wer mehr wissen will, kann auf der Veranstaltung mit den entsprechend informierten Kreisen bei Polizei und den großen Unternehmen Kontakt aufnehmen.
Betrügen ist einfach
IT Security nach innen
Wer den großen Namen aus der deutschen Wirtschaft und des Bankenwesens Erfahrungen und Maßnahmen – zur eigenen unternehmerischen Weiterbildung – entlocken will, muss allerdings saftige 1799 Euro für die Konferenz investieren. Die hohe Summe hilft sicherlich der Verschwiegenheit – kein Unternehmen will heute öffentlich zugeben, dass es auch schon von den eigenen Mitarbeitern abgezockt wurde. Einigen Unternehmen dürfte dies jedoch die Gebühr wert sein. Programm und Anmeldeformular finden Sie hier als PDF-Datei. Kleinere Unternehmen müssen kleine Brötchen backebn – doch hier reicht oftmals die passende Absicherung der Computer-Infrastruktur.
Für Deutschland wird auch gelten, was ein gesonderter des britischen Beratungsunternehmens für Schadensanalyse Protivity ergeben hat. Der Bericht stützt sich auf Befragungen von verurteilten Betrügern und kommt zu dem Schluss, dass es für die meisten wirklich einfach war, ihre Arbeitgeber zu bestehlen – und oft machte dies die IT erst möglich.
Callum McCarthy, Vorsitzender der FSA (Financial Services Authority, die britische Aufsichtsbehörde für Finanzdienstleistungen) hat kürzlich auch vor einer wachsenden Bedrohung durch kriminelle Banden, die sich in Finanzdienstleistungs- unternehmen einschleusen, gewarnt. Leitende Polizeibeamte haben laut Zeitungsberichten auch bestätigt, dass ein akuter Anstieg sowohl von Mitgliedern des organisierten Verbrechens, die Jobs bei Banken bekommen, als auch von Personal, das in Schmiergeldaffären verwickelt ist, zu verzeichnen ist.
Investitionen von externer zu interner Sicherheit lenken
IT Security nach innen
Die Experten sind sich einig, dass viele Unternehmen erst noch in adäquate Systeme und Strategien investieren müssen, um den Betrug durch Mitarbeiter in den Griff zu bekommen. “Es schien schon immer seltsam zu sein, dass der größte Anteil von Sicherheitsbrüchen intern geschieht, aber der Großteil von Investitionen in die IT-Sicherheit auf Lösungen für Bedrohungen von außen gerichtet ist”, meint Andy Kellett von der Analystenfirma Butler Group.
Der Kriminologe Professor Martin Gill an der Universität von Leicester, der die Untersuchung im Auftrag von Protiviti durchgeführt hat, fügte hinzu, dass sogar Unternehmen, die in innere Sicherheitssysteme investieren, diese nicht richtig nutzen. “Ein häufiges Problem ist, dass die Systeme zwar vorhanden sind, aber nicht richtig gemanagt werden”, erläuterte er.
Peter Dorrington, Chef für Lösungen gegen Betrug bei SAS, einem dem Spezialisten für Business Intelligence (BI). meinte, dass die größte Abschreckung gegen Mitarbeiterbetrug die Angst ist, geschnappt zu werden und dass BI-Tools dafür verwendet werden sollten, um bei der Aufdeckung zu helfen. Er sagte, dass die BI-Technologie dafür genutzt werden kann, Unregelmäßigkeiten bei der Buchhaltung aufzufinden und die Firmen dabei unterstützen kann, die Bereiche aufzuspüren, wo ein größeres Betrugsrisiko besteht.
Angst vor Negativwerbung
IT Security nach innen
Mike Adlem, geschäftsführender Direktor bei Protiviti meinte, dass die meisten Betrüger das nötige Wissen für ihre kriminellen Handlungen im Verlauf ihrer ganz normalen Arbeit erlangen. Demzufolge müssen viele Firmen ihre Systeme und Strategien für die Handhabung des Zugriffs verbessern. “Ein großer Teil von betrügerischen Aktivitäten ist ganz einfach möglich, weil die Leute Zugriff auf Systeme haben, die mit ihrem Job nichts zu tun haben”, sagte Adlem.
Die Kriminalität wird auch deshalb begünstigt, weil die Firmen keine Strafanzeige gegen korrupte Arbeitnehmer stellen, in dem Versuch, Negativreklame zu vermeiden. “Dies aber ist kurzfristiges Denken, was einer Einladung zu noch mehr Betrug gleichkommt”, argumentierte Dorrington.
Aber es ist eine Veränderung in der Einstellung zu diesem Problem zu verzeichnen. Dies liegt an dem immer strengeren gesetzlichen Umfeld, das die Unternehmen zwingt, die innere Sicherheit zu verbessern, behauptete Kellett. “Eine Gesetzgebung, die wie das kalifornische Recht fordert, dass die Unternehmen ihre Kunden informieren, wenn Unternehmensdaten gestohlen werden, gibt schließlich und endlich den Firmen einen Anstoß, ihre innere Sicherheit zu straffen”, fügte er hinzu.
Bis so ein Beispiel in irgendeinem europäischen Land und schließlich beim wirtschaftlich gelähmten Deutschland durchgesetzt wird, dauert es ein wenig. International aufgestellte Unternehmen werden aber wie so oft die Vorreiter sein (müssen).